在现代企业网络架构中，流量调度的灵活性和安全性日益成为网络工程师关注的核心问题，尤其是当企业需要将特定业务流量（如财务系统、远程办公应用）强制通过加密通道（如IPsec或SSL VPN）时，传统的静态路由策略往往难以满足需求，基于策略的路由（Policy-Based Routing, PBR）结合VPN技术，成为一种高效且可控的解决方案——即“PBR流量走VPN”。

PBR是一种超越传统路由表决策机制的路由方式，它允许网络管理员根据源地址、目的地址、协议类型甚至应用特征等条件，为特定流量指定下一跳或出接口，相比默认路由或静态路由，PBR提供了更细粒度的流量控制能力，特别适用于多出口环境（如同时接入互联网和专线）或需隔离敏感流量的场景。

要实现“PBR流量走VPN”,通常需完成以下步骤：

第一步：配置VPN隧道，确保本地路由器或防火墙已正确建立IPsec或SSL VPN隧道，目标端点可达，并能正常转发数据包，在Cisco设备上使用crypto isakmp和crypto ipsec transform-set定义安全参数；在华为设备上则需配置IKE策略与IPsec安全提议。

第二步：创建访问控制列表（ACL），定义哪些流量应被重定向至VPN，若希望所有来自192.168.10.0/24网段的TCP 443流量走VPN,则可创建如下ACL：

ip access-list extended PBR-VPN-TRAFFIC
permit tcp 192.168.10.0 0.0.0.255 any eq 443

第三步：定义路由映射（route-map），这是PBR的关键环节，用于将ACL匹配的流量绑定到指定的下一跳（即VPN隧道接口）。

route-map PBR-TO-VPN permit 10
match ip address PBR-VPN-TRAFFIC
set ip next-hop 10.1.1.1   // 这是VPN隧道的对端IP

第四步：将route-map应用于接口，在入站接口（如GigabitEthernet0/0）启用PBR：

interface GigabitEthernet0/0
ip policy route-map PBR-TO-VPN

至此，所有符合ACL规则的流量将不再依据主路由表，而是强制通过设定的下一跳（即VPN隧道），从而实现“PBR流量走VPN”的目标。

该方案的优势在于：

• 安全性增强：敏感业务数据始终加密传输；
• 灵活性高：无需修改现有网络拓扑即可动态调整流量路径；
• 可控性强：支持基于应用层特征的精准分流,避免带宽浪费。

需要注意的是，PBR会增加路由器CPU负担，因此建议仅用于关键业务流量；务必验证PBR规则是否与默认路由冲突,避免黑洞路由导致丢包。

PBR与VPN的协同部署，是现代网络中实现流量智能调度与安全合规的重要手段，作为网络工程师，掌握这一组合技,将极大提升企业在复杂网络环境中的运维效率与安全保障能力。